Общие критерии оценки безопасности информационных технологий

Класс FPR (секретность) включает 4 семейства и содержит требования к секретности, обеспечивающие защиту пользователя от раскрытия и несанкционированного использования его идентификаторов другими пользователями.

Класс FPT (защита функций безопасности) включает 22 семейства функциональных требований, которые касаются целостности и контроля данных ФБ и механизмов, обеспечивающих ФБ.

Класс FRU (использование ресурса) включает 3 семейства, которые определяют готовность требуемых ресурсов к обработке и/или хранению информации.

Класс FTA (доступ к ОО) включает 7 семейств, которые определяют функциональные требования, сверх требований идентификации и аутентификации, для управления сеансами работы пользователя.

Класс FTP (надежный маршрут/канал) включает 2 семейства, которые содержат требования к обеспечению надежного маршрута связи между пользователями и ФБ и надежного канала связи между ФБ.

7.4 ТРЕБОВАНИЯ ГАРАНТИИ БЕЗОПАСНОСТИ

Всего в разделе "Требования гарантии безопасности" версии 1.0 ОК 7 классов, 25 семейств, 72 компонента.

Класс ACM (управление конфигурацией) состоит из трех семейств и определяет требования контроля версий в процессе разработки и модификации ОО. Управление конфигурацией гарантирует готовность ОО и документации к распространению.

Класс ADO (поставка и эксплуатация) состоит из двух семейств и определяет требования к мерам и процедурам, связанным с безопасной поставкой, установкой и эксплуатацией ОО.

Класс ADV (разработка) состоит из шести семейств и определяет требования для пошаговой проработки ФБ от общей спецификации ОО в ЗБ до реализации.

Классс AGD (руководства) состоит из двух семейств и определяет требования к полноте и законченности эксплуатационной документации, представленной разработчиком. Эта документация, которая содержит два вида информации (для пользователей и для администраторов), является важным фактором безопасной эксплуатации ОО.

Класс ALC (поддержка жизненного цикла) состоит из четырех семейств и определяет требования к модели жизненного цикла для всех этапов разработки ОО, включая политику и процедуры устранения недостатков, правильное использование инструментальных средств и методов, а также меры безопасности по защите среды разработки.

Класс ATE (тестирование) состоит из четырех семейств и формулирует требования к объему, глубине и виду тестирования ОО, которые позволяют сделать вывод о выполнении функциональных требований безопасности.

Класс AVA (оценка уязвимостей) состоит из четырех семейств и определяет требования, направленные на идентификацию уязвимых мест и тайных каналов, которые возникают при проектировании, функционировании, неправильном использовании или неправильной конфигурации ОО.

Для некоторых функций безопасности предусмотрено требование к силе. Например, механизм пароля не может полностью предотвратить раскрытие, но его сила может быть увеличена путем увеличения длины пароля или уменьшения интервала изменений (замены) пароля.

Оценка силы функции безопасности ОО выполняется на уровне механизма безопасности, а результат определяет относительную способность соответствующей функции безопасности противостоять идентифицированным угрозам.

Сила функции оценивается как "базовая", если анализ показывает, что механизм обеспечивает адекватную защиту против непреднамеренного или случайного нарушения безопасности ОО нападавшим, обладающим низким потенциалом нападения.

Сила функции оценивается как "средняя", если анализ показывает, что механизм обеспечивает адекватную защиту против прямого или намеренного нарушения безопасности ОО нападавшим, обладающим средним потенциалом нападения.

Сила функции оценивается как "высокая", если анализ показывает, что механизм обеспечивает адекватную защиту против преднамеренно запланированного или организованного нарушения безопасности ОО нападавшим, обладающим высоким потенциалом нападения.